Kineska hakerska grupa Mustang Panda, poznata i kao Bronze President ili RedDelta, nedavno je izvela ciljane napade na organizacije i pojedince povezane sa Tibetom i Tajvanom. U ovim operacijama, grupa je koristila novi malver nazvan PUBLOAD, koji je u stanju da prikuplja informacije i služi kao alat za špijunažu.
Istraživači iz kompanije SentinelOne otkrili su da Mustang Panda koristi kombinaciju tehnika, uključujući spear-phishing mejlove, kako bi ugrozila svoje mete. Ovi mejlovi, često sa privlačnim sadržajem ili lažno predstavljeni kao legitimne poruke, služe kao početna tačka za dostavu malvera. Jedan od ključnih elemenata u ovim napadima je malver pod nazivom PUBLOAD.
PUBLOAD je sofisticirani alat koji omogućava napadačima da daljinski kontrolišu zaražene sisteme, prikupljaju osetljive podatke i izvršavaju komande. Njegova sposobnost da obavlja špijunažu čini ga posebno opasnim u kontekstu ciljanih napada na politički osetljive mete.
Osim PUBLOAD-a, u ovim kampanjama je identifikovan i malver Pubshell. Pubshell, prema analizi, radi kao shellcode dropper, efikasno isporučujući dodatne zlonamjerne komponente na žrtvin sistem. Ova kombinacija alata povećava mogućnosti grupe Mustang Panda za prikupljanje informacija i dugotrajno prisustvo u kompromitovanim mrežama.
Specijalisti za sajber bezbednost naglašavaju da ovakvi napadi zahtevaju visok stepen opreza od strane potencijalnih meta. Upozorenje je objavljeno na mreži X, kao i na zvaničnom blogu kompanije SentinelOne, pružajući detaljne tehničke informacije o metodologiji napada i prirodi malvera.
Metodologija napada na laički razumljiv način: Prevaranti koriste tzv. “spear-phishing” mejlove, koji su ciljano dizajnirani da izgledaju kao legitimne poruke od poznatih izvora. Na primer, mogu se predstaviti kao obaveštenje od strane vlade, poznate kompanije ili čak kolege. Unutar takvog mejla može se nalaziti link ili prilog. Kada žrtva otvori taj link ili prilog, na njen računar se automatski preuzima i instalira zlonamerni softver, u ovom slučaju PUBLOAD ili Pubshell. Ovakvi programi potom neprimetno rade u pozadini, prikupljajući poverljive informacije, kao što su lozinke, finansijski podaci ili osetljivi dokumenti, te ih šalju napadačima.
SentinelOne je objavio svoje nalaze i upozorenje putem bloga kompanije, ističući specifičnost ciljeva i sofisticiranost upotrebljenih alata. Analiza je potvrdila da je Mustang Panda aktivno usmeren na entitete i pojedince čije su aktivnosti vezane za Tibet, kao i na one sa interesima na Tajvanu, što ukazuje na moguću političku ili ideološku motivaciju iza ovih kibernetičkih operacija. Upozorenje je objavljeno i na platformi X (nekada Twitter), putem zvaničnih naloga kompanije, čime se želi dopreti do šire javnosti i stručnjaka u oblasti sajber bezbednosti.
Stručnjaci za sajber bezbednost ističu da je ključno prepoznavanje potencijalno zlonamernih mejlova i izbegavanje otvaranja sumnjivih linkova ili priloga. Pravovremeno ažuriranje softvera, korišćenje pouzdanih antivirusnih programa i obuka korisnika o prepoznavanju pretnji su neophodni koraci u odbrani od ovakvih napada.
